Ondrej Holzman Bagama't ang mga bagong feature na ipinakilala sa OS X Yosemite at iOS 8 ay nagdadala ng maraming kapaki-pakinabang na feature sa mga user na nagpapasimple sa paggamit ng maraming device, maaari rin silang magdulot ng banta sa seguridad. Halimbawa, ang pagpapasa ng mga text message mula sa isang iPhone patungo sa isang Mac ay napakadaling lumalampas sa dalawang hakbang na pag-verify kapag nagsa-sign in sa iba't ibang mga serbisyo.
Ang hanay ng mga function ng Continuity, kung saan ikinokonekta ng Apple ang mga computer sa mga mobile device sa pinakabagong mga operating system, ay napaka-interesante, lalo na sa mga tuntunin ng mga network at diskarte na ginagamit nila upang ikonekta ang mga iPhone at iPad sa mga Mac. Kasama sa pagpapatuloy ang kakayahang tumawag mula sa isang Mac, magpadala ng mga file sa pamamagitan ng AirDrop o mabilis na gumawa ng hotspot, ngunit ngayon ay tututuon kami sa pagpapasa ng regular na SMS sa mga computer.
Ang medyo hindi kapansin-pansin, ngunit napaka-kapaki-pakinabang na function na ito, sa pinakamasamang kaso, ay maaaring maging isang butas sa seguridad na nagpapahintulot sa isang umaatake na makakuha ng data para sa ikalawang yugto ng pag-verify kapag nagla-log in sa mga piling serbisyo. Pinag-uusapan natin dito ang tinatawag na two-phase login, na, bilang karagdagan sa mga bangko, ay ipinakilala na ng maraming serbisyo sa internet at mas ligtas kaysa sa kung mayroon kang isang account na protektado lamang ng isang klasiko at solong password.
Maaaring maganap ang two-phase na pag-verify sa iba't ibang paraan, ngunit kapag pinag-uusapan natin ang tungkol sa online banking at iba pang mga serbisyo sa internet, kadalasan ay nakakaranas tayo ng pagpapadala ng verification code sa iyong numero ng telepono, na kailangan mong ilagay sa tabi ng paglalagay ng iyong regular na password. Samakatuwid, kung may humawak sa iyong password (o computer kasama ang password o certificate), kadalasang kakailanganin nila ang iyong mobile phone, halimbawa, para mag-log in sa internet banking, kung saan may darating na SMS na may password para sa ikalawang yugto ng pag-verify. .
Ngunit sa sandaling naipasa mo na ang lahat ng iyong text message mula sa iyong iPhone patungo sa iyong Mac at kinuha ng isang attacker ang iyong Mac, hindi na nila kailangan ang iyong iPhone. Upang maipasa ang mga klasikong mensaheng SMS, walang direktang koneksyon ang kailangan sa pagitan ng iPhone at Mac - hindi kailangang nasa parehong Wi-Fi network ang mga ito, hindi na kailangang i-on ang Wi-Fi, tulad ng Bluetooth, at ang kailangan lang ay ikonekta ang parehong device sa internet. Ang serbisyo ng SMS Relay, bilang opisyal na tawag sa pagpapasa ng mga mensahe, ay nakikipag-ugnayan sa pamamagitan ng iMessage protocol.
Sa pagsasagawa, ang paraan ng paggana nito ay kahit na ang mensahe ay dumating sa iyo bilang isang regular na SMS, pinoproseso ito ng Apple bilang isang iMessage at inililipat ito sa Internet sa Mac (ganito ito gumana sa iMessage bago ang pagdating ng SMS Relay) , kung saan ito ay ipinapakita bilang isang SMS, na ipinapahiwatig ng isang berdeng bubble . Ang iPhone at Mac ay maaaring nasa magkaibang lungsod, ang parehong device lang ang nangangailangan ng koneksyon sa Internet.
Maaari ka ring makakuha ng patunay na ang SMS Relay ay hindi gumagana sa Wi-Fi o Bluetooth sa sumusunod na paraan: i-activate ang airplane mode sa iyong iPhone at magsulat at magpadala ng SMS sa isang Mac na konektado sa Internet. Pagkatapos ay idiskonekta ang Mac mula sa Internet at, sa kabaligtaran, ikonekta ang iPhone dito (sapat na ang mobile internet). Ang SMS ay ipinadala kahit na ang dalawang device ay hindi kailanman direktang nakikipag-ugnayan sa isa't isa - lahat ay sinisiguro ng iMessage protocol.
Kaya, kapag gumagamit ng pagpapasa ng mensahe, kinakailangang tandaan na ang seguridad ng dalawang-factor na pagpapatotoo ay nakompromiso. Kung sakaling manakaw ang iyong computer, ang pag-disable kaagad sa pagmemensahe ay ang pinakamabilis at pinakamadaling paraan upang maiwasan ang potensyal na pag-hack ng iyong mga account.
Ang pagpasok sa Internet banking ay mas maginhawa kung hindi mo kailangang muling isulat ang verification code mula sa display ng telepono, ngunit kopyahin lamang ito mula sa Messages sa Mac, ngunit ang seguridad ay mas mahalaga sa kasong ito, na lubhang kulang dahil sa SMS Relay . Ang isang solusyon sa problemang ito ay maaaring, halimbawa, ang posibilidad na ibukod ang mga partikular na numero mula sa pagpapasa sa Mac, dahil ang mga SMS code ay karaniwang nagmumula sa parehong mga numero.
Tulad ng nabanggit sa huling talata - ang kakayahang kopyahin ang code ay mas maginhawa at mas mahusay.
Bilang karagdagan - kung may magnakaw ng aking MacBook, ang unang bagay na gagawin ko ay i-block ito at i-off ang lahat ng "pagpapasa" at Continuity sa iPhone - kaya't mayroon ding pagpipiliang ito sa Mga Setting / Mga Mensahe. :)
At kung may kumabit sa iyo, pinipigilan mo rin ba?
At bakit may two-step authorization kung maaari mong harangan kaagad ang ninakaw na device, ha?
Ang two-step na pag-verify ay isang third-party na serbisyo, kaya halos hindi ko ito magamit o balewalain, kahit na sa kaso ng mga bangko. At hinarangan ko o tinanggal ang aking Mac sa pamamagitan ng Find my Mac. Ang mga benepisyo ng pagpapasa ng SMS ay mas malaki kaysa sa kung hindi ko nakikita ang demonyo sa likod ng lahat.
Walang nagmamalasakit sa pagnanakaw, nalulutas iyon ng buong disk encryption. Ngunit ano ang gagawin mo sa isang na-hack na computer? Malamang wala, hindi mo malalaman ang tungkol dito.
Well, siyempre, ang mga kalamangan ay nananaig, walang nakakakita ng diyablo at ang gumagamit ay palaging ipinagpalit ang seguridad para sa isang sumasayaw na baboy.
Oo nga pala, mayroon ka bang impresyon na pinipilit ka ng mga bangko na magpadala ng SMS para lamang sa kasiyahan?
kung may nag-aalala, huwag gamitin ito. Ako ay lubos na nasisiyahan dito
At ang mga walang alalahanin sa kumbinasyon ng 2FA ay hindi man lang ito ginagamit, dahil halatang hindi nila alam kung ano ang kanilang ginagawa.
At paano ko ibubukod ang isang partikular na numero sa Macbook at iiwan ito sa iPhone? Salamat sa sagot
Ang AFAIK ang pinakamagandang opsyon ay "i-off ang Pagpapasa ng Text Messages sa ilalim ng Mga Mensahe sa Mga Setting (mula sa iyong iPhone)."
Kung hindi ako nagkakamali, hindi pwedeng i-whitelist ang dapat i-forward, o i-blacklist ang hindi.
Well, hindi ba mas madaling magnakaw ng cell phone kaysa sa Mac? Oo, maaari kang magkaroon ng password para sa mobile, ngunit para din sa MAC. Hindi ako eksperto, ngunit malamang na hindi madaling makarating sa Mac kung hindi ko alam ang password (hindi ko ibig sabihin na basahin ang data, ngunit mag-log in upang magsimula ang SMS relay).
Gayundin, huwag kalimutan na pinag-uusapan natin ang tungkol sa dobleng seguridad, kung saan ang unang yugto ay ang pangunahing isa - pagpasok ng password upang parangalan at kung wala kang nakasulat sa MAC o sa ilang dokumento ng teksto sa loob, pagkatapos ay mayroong walang access sa bangko (at hindi mo ginagamit ang 1111 bilang password :-))
Kaya, ang pagnanakaw ng isang mac ay malamang na magdulot sa iyo ng pinakamalaking pinsala dahil sa tunay na presyo ng mac.
Hindi nilulutas ng 2FA ang pangunahing pagnanakaw ng Mac o IP. Ang solusyon ay kailangang kontrolin ng umaatake ang Mac at iba pa. Sapat na sa kanya ang Mac ngayon. Coz negates lahat ng benefits ng 2FA.
(Ang payo ay protektahan laban sa variant ng "attacker on Mac only controls the browser", na malamang na hindi isang ganap na kontroladong sitwasyon.)
Kaya lang kung ituturing mong ganap na ligtas ang Mac (haha), hindi mo na kailangang harapin ang 2FA. At kung hindi, huminto ang 2FA na dalhin sa iyo ang tumaas na seguridad, tulad ng drive.
At isa pang beses, napakalinaw - pumunta ka sa website na "nicnebezpecneho.cz", na mapanganib dahil sa isang kapus-palad na hanay ng mga pangyayari. Madali itong mangyari sa iyo - hindi mo kailangang pumunta kaagad sa mga porn site, sapat na para sa isang tao na hindi ma-secure ang blog na binibisita mo at hayaang maipasok ang hindi malinis na javascript sa mga komento. Mayroong malayong pagsasamantala para sa iyong browser sa pahinang iyon (maaari pa rin itong mangyari sa iyo, walang masyadong kakaiba). O mahuli sa social engineering...
...pagkatapos ng ilang oras pumunta ka para magpadala ng pera mula sa bangko (mag log in ka sa gmail, github...). Sa paggawa nito, ipinasok mo ang data sa pag-log in sa nakompromisong computer na (o hindi mo na kailangang gawin iyon kung nai-save mo ang mga password na ito) at kopyahin at i-paste ang code mula sa SMS nang isang beses.
..at sa gabi, ang iyong computer ay nag-log in sa bangko (gmail...) nang mag-isa, ang password ay na-save na ng isang taong may malware. Hindi ka makakatanggap ng SMS ng kumpirmasyon sa iyong mobile phone, ngunit... sa nakompromisong computer na iyon.
Eksaktong nalutas ng 2FA ang mga sitwasyong ito. Hanggang sa sinira ito ni Apple.
Naisip ko na ang 2FA ay nangangahulugan na kailangan kong patunayan ang aking sarili sa pamamagitan ng 2 bagay, halimbawa:
– password
– na may teleponong tumatanggap ng SMS
Kaya, ang pagpapasa ng SMS sa Mac sa telepono ay nagdaragdag din ng Mac (o higit pang Mac at iPad na ipinares ko) bilang alternatibo, ngunit ito ay 2FA pa rin. O hindi?
Muli - sa ilalim ng normal na mga pangyayari, nalulutas ng 2FA ang mga sitwasyon tulad ng "na-hack ang Mac ko at hindi ko alam ang tungkol dito". Dahil pagkatapos ay maaari mong ipagpalagay na alam ng Mac ang iyong password para sa serbisyo (na nai-save mo na ito o pakikinggan mo ito sa susunod na mag-log in ka sa serbisyo). At ngayon ay maaari mong asahan na malalaman din niya ang SMS (o maaari niyang hilingin ito anumang oras at matatanggap niya ito).
Karamihan sa mga serbisyong nag-aalok ng two-factor authentication (Facebook, Dropbox, Google, Microsoft, ...) ay nagbibigay-daan sa isang beses na password na mabuo gamit ang isang app (Gumagamit ako ng Google Authenticator). Ang application ay patuloy na bumubuo ng mga code na limitado sa oras para sa mga rehistradong serbisyo. Maaaring makopya kaagad ang code at magamit para mag-log in. Hindi mo kailangang hintayin ang pagdating ng SMS at, kung ipapasa ang mga ito sa Mac, lutasin ang problemang inilarawan sa artikulo.
Ang mga nakompromisong mac ay may mga mensaheng SMS kapag nagla-log in...
Huwag mag-atubiling hilingin iyon. Kung na-on ko ang dalawang-phase na pag-verify sa pagbuo ng isang isang beses na code gamit ang application, kung gayon ang ibinigay na serbisyo ay hindi nagpapadala ng anumang SMS.
Kung may hindi nagbago, maraming serbisyo ang nagnanais ng telepono at iniwan ang SMS bilang default na opsyon. Kaya bumalik ang iyong na-hack na computer.
Sa dami ng mga bangko, walang pagpipilian, isang SMS lang at iyon na.
Hindi ko ito masyadong naiintindihan. Kung may magnanakaw sa aking Mac, ino-off ko ang SMS, malayuang pinupunasan ang Mac at papalitan ang password sa bangko. O ano ang huli?
Gagawin mo ba iyon bago basahin ang artikulong ito?
Ganap, ganap na awtomatiko.
Ngunit ang two-phase authentication ay tungkol sa katotohanan na ang umaatake ay nangangailangan ng dalawang kumpirmasyon: PASSWORD AT SMS. Nangangahulugan ito na kung natatakot ako na may kumuha ng aking ipinares na Mac, hindi ko iniimbak ang password doon, at kung may nag-hack ng aking browser, hindi sila makapasok sa iMessage.
Saan ka nakakakuha ng katiyakan na hindi ito lalabas sa iyong browser? Ayon sa kasalukuyang mga resulta ng Pwn4Fun at Pwn2Own, mukhang mayroong hindi bababa sa dalawang zero na araw para sa Safari:
"Sa Pwn4Fun, naghatid ang Google ng napakakahanga-hangang pagsasamantala laban sa paglulunsad ng Apple Safari ng Calculator bilang root sa Mac OS X"
"Ni Liang Chen ng Keen Team:
Laban sa Apple Safari, isang heap overflow kasama ng sandbox bypass, na nagreresulta sa code execution."
Manipis na puting letra sa isang berdeng background - kahit isang mag-aaral ng isang espesyal na paaralan ay hindi maaaring magmungkahi nito ng mas mahusay...
Isa sa mga paraan para ihinto ito ay ang pagpapalit ng code generation sa pamamagitan ng dongle (halimbawa ito: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) ito ay ligtas at nagbibigay-daan ito sa mas mataas na seguridad, kailangan ding gawin ng KB ang isang katulad na bagay - isang sertipiko na na-upload sa isang USB disk, kung wala ang isang tao ay hindi makakonekta sa internet banking, at kung minsan ay isang beses na password ay ipinapadala sa telepono, atbp ... Maraming mga posibilidad, ngunit ang bawat isa ay may kanya-kanyang sarili kailangan niyang magpasya kung mahalaga sa kanya ang seguridad (kung mayroon siyang password o wala? atbp.)
May magandang bagay ang Unicredit. Ang smart key ay hindi kailanman isang klasikong SMS, ngunit bumubuo ako ng isang beses na password sa mobile application.
Kailangan ko ng payo kung bakit bigla akong hindi makapagpadala ng mm short video, na posible hanggang ngayon? Walang opsyon na magsingit lang ng video, hindi ito tumutugon, hindi ito ipinapasok sa mensahe
Děkuji